L’équipe Wordfence Threat Intelligence a découvert deux vulnérabilités distinctes dans un plugin WordPress populaire utilisé pour changer la façon dont les pages de téléchargement sont affichées.
Le plugin en question s’appelle WordPress Download Manager et il a été installé sur plus de 100 000 sites selon WordPress.org.
La première vulnérabilité peut être exploitée pour réaliser une traversée de répertoire authentifiée selon Wordfence. Bien que WordPress Download Manager ait mis en place certaines protections contre la traversée de répertoires, elles étaient loin d’être suffisantes. En conséquence, il était possible pour un utilisateur tel qu’un contributeur avec des privilèges inférieurs de récupérer le contenu du fichier wp-config.php d’un site en ajoutant un nouveau téléchargement et en effectuant une attaque de traversée de répertoire.
À partir de là, lors de la prévisualisation du téléchargement, le contenu du fichier wp-config.php serait visible dans le code source de la page. Cependant, étant donné que le contenu du fichier a été renvoyé sur la source de la page, un utilisateur avec des autorisations de niveau auteur peut également télécharger un fichier avec une extension d’image contenant du JavaScript malveillant et définir le contenu du fichier[page_template] au chemin du fichier téléchargé, ce qui pourrait entraîner des scripts intersites stockés.
Sommaire
Attaque à double extension
Avant que Wordfence ne découvre ces deux vulnérabilités, l’équipe derrière le gestionnaire de téléchargement WordPress a corrigé une vulnérabilité qui permettait aux utilisateurs de télécharger des fichiers avec des extensions php4 ainsi que d’autres fichiers potentiellement exécutables.
Bien que ce patch protégeait de nombreuses configurations, il ne vérifiait que la toute dernière extension de fichier qui permettait à un attaquant de mener une attaque « double extension » en téléchargeant un fichier avec plusieurs extensions comme info.php.png.
L’équipe Wordfence Threat Intelligence a divulgué ses conclusions de manière responsable à l’équipe du gestionnaire de téléchargement WordPress au début du mois de mai et le développeur du plugin a publié une version corrigée du plugin le lendemain.
Néanmoins, si vous êtes un propriétaire de site WordPress qui utilise le plugin, il est fortement recommandé de mettre à jour immédiatement la dernière version pour éviter d’être victime d’attaques exploitant ces deux vulnérabilités désormais corrigées.